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@ System zur beruhrungslosen Authentisierung des Nutzers einer Datenendeinrichtung eines 
D ate nve r a r be i tu n gs system s 

(57) Es wird ein System zur beruhrungslosen Authentisierung 
des Nutzers einer Datenendeinrichtung eines Datenverarbei- 
tungssystems angegeben. Der Nutzer tragt, schwer vertier- 
bar, einen Identifikationstrager mit sich, der innerhalb einer 
Entfernung von weniger als 1 m abgefragt werden kann. Ein 
Abstandsieser, der nahe bei der Datenendeinrichtung ange- 
bracht und uber ein Verbindungskabel mit ihr verbunden ist, 
fragt kontinuierlich die persbnliche Nutzerkennung auf dem 
Identifikationstrager ab. Wenn die vorbestimmte Entfernung 
fur vorbestimmte Zeitspannen uberschritten wird, so wird 
die Datenendeinrichtung teilweise oder ganz blockiert. Ein 
Schreibgerat programmiert den Identifikationstrager zu vor- 
gegebenen Zeitpunkien, an denen der Nutzer anderweitig 
identifiziert wird. Das Schreibgerat iibermittelt die erzeugte 
Nuuerkennung an das Datenverarbeitung a system. Sowohl 
bei der Abfrage als auch bai der Program mierung der 
persontichen Nutzerkennung befindet sich der Identifika- 
tionstrager in einem magnetischen Wechselfeid. 
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Die Erfindung bezieht sich auf ein System zur Au- 
thentisierung des Nutzers einer Dateneinrichtung eines 
Datenverarbeitungssystems, wie es im Oberbegriff des 
Paten tanspruchs 1 angegeben isL Ein derartiges System 
ist aus einer Firmenschrift der Firma UN IN A bekannt, 
in welcher das Sicherheitssystem UNISES beschrieben 
ist- Die Erfindung bezieht sich ferner auf ein System zur 
Authentisierung nach dem Oberbegriff des Patentan- 
spruchs 13. 

Urn gefahrdete oder anderweitig schutzwiirdige Da 
tenverarbeitungssysteme vor unberechtigtem Zugriff 
zu schutzen, werden ublicherweise sogenannte LO- 
GON -Verfahren eingesetzt Hierzu werden an einer 
Datenendeinrichtung des Datenverarbeitungssystems 
Nutzerkennungen und PaBworter eingegeben, die dem 
autorisierten Nutzer und dem System bekannt sind. Das 
System identifiziert den Nutzer anhand seines PaBworts 
und gewahrt ihm an der benutzteri Datenendeinrich- 
tung die zugewiesenen Zugriff srechte. 

Dieses Verfahren weist Schwachen auf, durch welche 
ein PaBwort verhaltnismaBig leicht umgangen werden 
kann: 

— Simple PaBworte sind leicht aufdeckbar; der 
Schutz des Systems vor unberechtigten Nutzern ist 
nicht gewahrleistet 

— Wirksame und damit lange PaBworte werden 
vom autorisierten Nutzer leicht vergessen. Daher 
werden diese haufig schriftlich aufgezeichnet und 
kdnnen ebenfalls aufgedeckt werden. 

— Nutzern, die ihr Identifikationsmerkmal "PaB- 
wort" vergessen haben, stehen die Systemleistun- 
gen in kritischen Situationen nicht zur Verfiigung. 

— Der Vorgang des LOGON belastet den Nutzer 
zeitlich und lenkt ihn von der eigentlichen Nutzung 
des Systems ab. 

— PaBworte kdnnen bei der Eingabe iiber die Ta- 
statur durch Beobachten der Finger ausgespaht 
werden. 

Die aufgefuhrten Unzulanglichkeiten machen die au- 
torisierte Nutzung des Datenverarbeitungssystems un- 
bequem. Hieraus resultiert haufig die eingeschrankte 
oder unzulangiiche Nutzung der verfiigbaren Sicher- 
heitsmechanismen. 

Die vorhandenen Sicherheitsmangel haben zu Ober- 
legungen gefiihrt, wie die Datensicherheit bei Benut- 
zung einer Dateneinrichtung grundsatzlich verbessert 
werden konnte. Das eingangs erwahnte Sicherheitssy- 
stem UNISES verzichtet auf die manuelle Eingabe von 
PaBwdrtern und authentisiert den Nutzer eines Perso- 
nal-Computers automatisch. Die Vorrichtung besteht 
aus einem integrierten Schaltkreis, der im Personal- 
Computer eingebaut und mit leistungsfahigen Ver- 
schliisselungsfunktionen versehen ist, sowie aus einem 
kleinen Hochfrequenzsender, der in einer Tasche des 
Nutzers getragen wird und eine personliche Kennung 
aktiv abstrahlL Der Hochfrequenzsender hat eine 
Reichweite von 5 Metern und die Funkverbindung 
selbst ist bereits durch Verschliisselungsalgorithmen ge- 
schiitzt. Wenn der Personal-Computer einen berechtig- 
ten Nutzer identifiziert, dann wird die Kennung aus dem 
Identifikationstrager in den Verschlusse lungs-Chip 
ubertragen und es stehen auBer den Standardfunktio- 
nen des Personal-Computers auch die geschutzten Da- 
tenbereiche zur Verfugung. Die Authentisierung wird 


kontinuierlich wiederholt. Wenn der Benutzer seinen 
Arbeitsplatz verlaBt, dann fuhrt der Personal -Computer 
die normale Datenverarbeitung fort; jedoch sperrt er 
jeden Zugang zu den Eingabegeraten (beispielsweise zu 

5 derTastatur). 

Dieses Autorisierungsverfahren erfiillt bereits einige 
der Bedingungen, die an einen verbesserten Daten- 
schutz zu stellen sind Insbesondere wird die Unter- 
scheidung zwischen autorisierten und nicht- autorisier- 

io ten Personen mdglich, ohne daB der zugangsberechtigte 
Nutzer umstandliche und zeitraubende Eingabeproze- 
duren vornehmen muB. Wenn sich der autorisierte Nut- 
zer entfernt, wird der Personal-Computer automatisch 
in seinen sicherheitsempfindlichen Funktionen blok- 

15 kiert Nachteilig an dem bekannten Verfahren ist der 
aktive, d. h. batteriebetriebene und daher nicht war- 
tungsfreie, sowie vergteichsweise vol umi nose Sender. 
Nachteilig ist ferner, daB das unbekannte Verfahren 
nicht offen ist fur weitere Authentisierungsschritte, die 

20 um so wichtiger werden, je groBer das Datenverarbei- 
tungssystem ist an welches die Datenendeinrichtung 
angeschlossen isL 

Aus dem IBM Technical Disclosure Bulletin, Februar 
1989, S. 223 und aus Funkschau 13/1986, S. 24 — 29 sind 

25 kleine. passive Identifikationstrager bekannt. 

Die Erfindung hat sich die Aufgabe gestellt, bei einem 
beriihrungslosen Autentisierungsverfahren der voraus- 
gesetzten Art den Schutz der personlichen Nutzerken- 
nung gegen Verlust oder Ausspahung weiter zu verbes- 

30 sern. Diese Aufgabe wird durch die kennzeichnenden 
Merkmale des Anspruchs 1 in Verbindung mit den Gat- 
tungsmerkmalen gelosL Eine nebengeordnete Auspra- 
gung des Erftndungsgedankens ist im Anspruch 13 an- 
gegeben. 

35 Der erfindungsgemaBe Identifikationstrager ist pas- 
siv, wartungsfrei und nicht groBer als 3 x 15 x 20 mm. 
Bei dem erfindungsgemaBen System kann die Nutzer- 
kennung auf dem Identifikationstrager haufig, zum Bei- 
spiel taglich, gewechselt werden. Hierzu werden die 

40 Nutzerkennungen von einer Stelle ausgegeben, die den 
Nutzer taglich auf Grund anderer Merkmale eindeutig 
identifiziert Die neue Nutzerkennung wird dabei von 
einem an der ausgebenden Stelle installierten Schreib- 
gerat erzeugt und in Verbindung mit der personlichen 

45 Autentisierung durch die ausgebende Stelle automa- 
tisch an das System ubermittelt. Das Schreibgerat kann 
mit einem der Abstandsleser kombiniert sein, der die 
Kennung aus dem Identifikationstrager ausliest und an 
die Datenendeinrichtung weitergibt 

50 Fur die tagliche Autentisierung des Nutzers bei Ober- 
nahme der Kennung kdnnen biometrische Identifika- 
tionsverfahren zum Einsatz kommen, die zu kosten- 
trachtig waren, wenn sie fQr jede Datenendeinrichtung 
eingesetzt wurden. Beispielsweise kann die biometri- 

55 sche Identifikation eine automatische Auswertung der 
Unterschrift sein. In einem typischen Anwendungsbei- 
spiel betritt ein Datenverarbeitungsnutzer das Betriebs- 
gebaude seiner Firma und weist sich am Eingang durch 
Unterschrift aus. Statt einer automatischen Auswertung 

60 der Unterschrift kommt auch eine personliche Identifi- 
zierung in Betracht. Er erhalt daraufhin einen Identifika- 
tionstrager oder, falls er einen solchen schon besitzt, 
eine neue Kennung zur Nutzung des hausinternen Da- 
tenverarbeitungssystems. Die Kennung wird von einem 

65 Schreibgerat einprogrammiert und zusammen mit der 
Identitat des Nutzers an das Datenverarbeitungssystem 
gemeldet Das System gibt die Tageskennung dieses 
Nutzers gegebenenfalls an zusatzlich zu nutzende Sub- 
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systeme weiter. 

Die Identifikationstrager ist mit dem Nutzer schwer 
verlierbar in der Nahe des Handgelenks verbunden. Bei- 
spielsweise kann der Identifikationstrager an einem 
Armband festgeklammert werden; er kann aber auch in 
eine Uhr, einen Armreif oder sogar einen Fingerring 
fest eingelassen sein. Nach der Obernahme des Identifi- 
kationstragers oder der neuen Kennung begibt sich der 
Nut2er an seinen Arbeitsplatz. Die Datenendeinrich* 
tung erkennt den Nutzer anhand der Kennung im Iden- 
tifikationstrager. Hierzu ist in der Datenendeinrichtung 
ein Abstandsleser eingebaut, der jeden Nutzer in der 
Nahe der Datenendeinrichtung eindeutig identifiziert 
Der Absundsleser wird von einem speziellen Pro- 
gramm gesteuert, welches fur den identifizicrten Nutzer 
sofort und automatisch den LOGON -Vorgang uber die 
Datenendeinrichtung auslost Der Nutzer kann ohne 
Verzogerung mit seiner Tatigkeit im Datenverarbei- 
tungssystem beginnen. E>er LOGON-Vorgang kann in 
den Fallen, in denen ein vollautomatischer Ablauf nicht 
sinnvoll ist, zusatzlich vom Nutzer aktiv angestoBen 
werden. Der Ablauf des LOGON wird an der Datenend- 
einrichtung angezeigt 

Bei der Kommunikation zwischen Datenendeinrich- 
tung und Rechner konnen wahrend des LOGON kryp- 
tographische Verfahren zum Einsatz kommen, die ein 
Aufdecken der Nutzerkennung durch Abhoren von Lei- 
tungen erschweren. 

Die Authentisierung des an der Datenendeinrichtung 
tatigen Nutzers wird periodisch oder kontinuierlich wie- 
derholt. Im Verlauf des Tages verlaBt der Nutzer haufig 
fur verschieden lange Zeitspannen seinen Arbeitsplatz. 
Die Authentisierungsvorrichtung erkennt dies und 
sperrt sofort fur die Zeit der Abwesenheit die Eingabe 
und/oder Ausgabe der Datenendeinrichtung bei lange- 
ren Abwesenheiten wird ein LOGOFF durchgefiihrt Zu 
diesem Zweck wird die Authentisierung des an der Da- 
tenendeinrichtung tatigen Nutzers periodisch oder kon- 
tinuierlich wiederholt VerlaBt der Nutzer den Wir- 
kungsbereich des Abstandslesers, der maximal einen 
Meter betragt, so wird von dem Ansteuerungspro- 
gramm des Abstandslesers beispielsweise die Tastatur 
gesperrt oder der Bildschirm dunkel getastet Die Blok- 
kierung erfolgt so lange, bis der Nutzer wieder in den 
Wirkungsbereich des Abstandslesers zuruckkehrt oder 
durch eine Zeitschaltung des Ansteuerungsprogramms 
das Abmelden des Nutzers beim System ausgelost wird 

Die verschiedenen Sperrfunktionen der Datenend- 
einrichtung konnen ebenfalls ausgelost werden, wenn 
ein nicht autorisierter Nutzer in den Wirkungsbereich 
des Abstandslesers kommL Hierzu sind gegebenenfalls 
weitere Sensoren einzusetzen, die hier nicht beschrie- 
ben werden. 

Wechseln im Tagesverlauf die Nutzer an einer Daten- 
endeinrichtung, so wird fur den jeweils berechtigten 
Nutzer sofort ein neues LOGON durchgefuhrL Jedoch 
kann der ehemalige Nutzer durch Ausiosen einer Sperr- 
funktion des Abstandslesers diesen Vorgang unterbin- 
den, beispielsweise um einem Mitarbeiter einen Einga- 
be* oder Ausgabe vorgang unmittelbar an der Daten- 
endeinrichtung zu zeigen. 

Am Ende des Arbeitstages gibt der Nutzer seinen 
Identifikationstrager oder seine Kennung an die zentra- 
le Ausgabestetle zuruck, wobei seine Kennung abge- 
fragt und dem Datenverarbeitungssystem die Ungiiltig- 
keit dieser Kennung mitgeteilt wird. 

Der Abstandsleser besteht prinzipiell aus einer Sen- 
de- und Empfangsspule sowie einer elektronischen Bau- 
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gruppe. Typischerweise ist zumindest die Sende- und 
Empfangsspule sehr nahe bei der Eingabe tastatur ange- 
bracht Im Betrieb umgibt sie sich mit einem niederfre- 
quenten magnetischen Wechselfeld, dessen Reichweite 

5 typischerweise bei 5— 20 cm liegt Das magnetische 
Wechselfeld reagiert auf die Anwesenheit des Identifi- 
kauonstragers, der am Handgelenk des beispielsweise 
vor dem Bildschirm sitzenden und die Tastatur beriih- 
rende n Nu tzers angebrach t ist. 

o Die Erfindung wird anhand der Zeichnungsblatter mit 
den Fig. 1 — 6 naher beschrieben. Es zeigt 

Fig. 1 : Die Hauptkomponenten des erfindungsgema- 
BenAuthentisierungssystems 
Fig. 2: ein Blockschaltbild des Identifikationstragers, 

5 wahrend er sich im magnetischen Wechselfeld des 
Schrei bgerats befindet 

Fig. 3: drei verschiedene Bauformen des Identifika- 
tionstragers - 
Fig. 4: ein Blockschaltbild des Abstandslesers 

o Fig. 5: eine mo g lie he Bauform des Abstandslesers 
Fig. 6: ein FluBdiagramm des im Abstandsleser be- 
nutzten Abfrageprogramms. 

In Fig. 1 ist mit DE eine Datenendeinrichtung be- 
zeichnet, die mit einem Datenverarbeitungssystem DV, 

s typischerweise einem zentral aufgestellten Rechner ver- 
bunden ist Als Datenendeinrichtung ist in diesem Aus- 
fuhrungsbeispiel ein Personal-Computer vorgesehen; es 
kann sich jedoch auch um eine sogenannte Arbeitssta- — _ 
tion (work station) oder um ein einf aches Terminal nan- . jir.'x 

o deln. Im gezeichneten Ausfuhrungsbeispiel steht auf der 
Zentraleinheit des Personal-Computers ein Bildschirm, . - 

wahrend vor der Zentraleinheit in ublicher Weise eine - 
Tastatur TA liegt. Nahe bei der Datenendeinrichtung 
DE und elektrisch mit ihr verbunden, ist ein Abstandsle- 

5 ser AL angeordnet Im gezeichneten Ausfuhrungsbei- 
spiel ist ein Abstandsleser AL angeordnet Im gezeich- z^.^z: 
neten Ausfuhrungsbeispiel ist die Sende- und Emp- 
fangsspule 13 des Abstandslesers AL in die Schreib- . ; 

tischunterlage vor der Tastatur TA eingewirkt Die Sen- ^-czn 

o de- und Empfangsspule 13 ist uber eine Verbindungslei- ~ —7 

tung 12 an eine elektronische Baugruppe 2 des Ab- 
standslesers AL angeschlossen, welche als spezifische 
Prozessor-Karte einschlieBlich des zugehdrigen Sicher- 
heits prog ram ms einen Steckplatz des Personal -Compu- 

5 ters belegL Die elektronische Baugruppe 2 kann jedoch 
auch zusammen mit der Sende- und Empfangsspule 13 
in einen Vorlegekeil eingebaut sein, der sich gleichfalls 
in der Nahe der Tastatur TA befindet In diesem Fall ist 
der Abstandsleser AL uber eine externe Schnittstelle 

« mit dem Personal-Computer verbunden. 

Mit dem Bezugszeichen ID ist ein Identifikationstra- 
ger angedeutet, der sich zwangslaufig in der Reichweite 
des magnetischen Wechselfelds des Abstandslesers AL 
aufhalt wenn ein Nutzer der Datenendeinrichtung DE 

15 inn am Handgelenk oder in der Nahe des Handgelenks 
befestigt hat. Mit ZS ist ein zum Abstandsleser AL alter- 
nativer Zusatzsensor angedeutet, der es als Option er- 
moglicht, eine Maussteuerung in die geschutzten Einga- 
befunktionen einzubeziehen. 

>o Der Identifikationstrager ID wird vom Nutzer zum 
Beispiel in Form einer Uhr oder eines Armbandes getra- 
gen. Die Benutzeridentifikation fur das LOGON erfolgt 
im gezeichneten Ausfuhrungsbeispiel, sobald sich der 
fdentifikaiionstrager ID unmittelbar tiber der Sende- 
es und Empfangsspule 13 des Abstandslesers AL befindet. 
Die maximale Abfrageentfernung ist typischerweise 
kleiner als 20 cm. Die vorbestimmte Entfernung, in wel- 
cher die Abf rage der Kennung noch moglich ist, betragt 
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in jedem Fall weniger als 1 Meter. 

Der Identifikationstrager ID besteht im wesentlichen 
aus 2 Komponenten. Ein Chip 14 enthalt alle zum Be- 
trieb notwendigen elektronischen Bauteile, vorzugswei- 
se in hoch integnerter Form. Die daran angeschlossene s 
Miniaturspule 15 ist wesentlich kleiner als die Sende- 
und Empfangsspule 13 des Abstandslesers AL, so daB 
sie zum Beispiel fur den Einbau in eine Uhr geeignet ist 
Jeder Nutzer, der Zugang zu dem zu schiitzenden Da- 
ten verarbeitungssystem DV erhalten soil, erhalt einen io 
Identifikationstrager ID, durch den der Nutzer eindeu- 
tig authentisiert werden kann. Diesen Identifikationstra- 
ger ID fiihrt der Nutzer moglichst unverlierbar bei sich. 
Die Miniaturspule 15 tritt im Fall der Abfrage (Fig. 1) 
mit dem Magnetfeld des Abstandslesers AL in Wechsel- \s 
wirkung. Im Fall der Program mierung (Fig. 2) befindet 
sich die Miniaturspule 15 im Bereich eines ahnlichen 
Magnetfelds, das von einem Schreibgerat SG erzeugt 
wird In diesem Feid kann der Identifikationstrager ID 
kontaktlos programmiert werden. Mit dem Schreibge- 20 
rat SG lassen sich beispielsweise 2 31 verschiedene Iden- 
tifikationstrager ID programmieren oder sperren. An- 
dcrungen der auf dem Identifikationstrager ID gespei- 
cherten Parameter sind jederzeit moglich. Das Schreib- 
gerat SG kann als eigenstandige Datenendeinrichtung 25 
des Datenverarbeitungssystems DV konzipiert sein; 
dann steht es beispielsweise an der Pforte eines Be- 
rn ebsgebaudes. Das Schreibgerat SG kann aber auch 
mit dem Abstandsleser AL kombiniert sein; dann ist der 
Identifikationstrager ID uber die Datenschnittstelle 30 
zwischen dem Abstandsleser AL und dem Personal- 
Computer DE programmierbar: 

Die Identifikationstrager ID werden mit einem nume- 
rischen Code programmiert Diesen Daten werden Si- 
cherheitsinformationen beigemischt Die Erzeugung er- 35 
folgt nach einer geheimen Formel. Der im Speicher des 
Identifikationstragers ID abgelegte Datensatz kann nur 
einmal hergestellt werden. Dadurch ist die Moglichkeit 
ausgeschlossen, daB mehrere Identifikationstrager ID 
mit gleichem Code existieren. Der Nutzer selbst defi- 40 
niert die frei zuganglichen Datenmengen, wahrend das 
Schreibgerat SG und der Abstandsleser AL fur die Da- 
tensicherheit des Programmiervorgangs und des Abfra- 
gevorgangs sorgen. Ein bestimmter Bereich des Identifi- 
kationstragers ID bleibt dem Anwender verschlossen; 45 
dieser Bereich kann nur einmal bei der Herstellung pro- 
grammiert werden. Diese Sicherheitsmaflnahmen zu- 
sammen mit einem ausgekliigelten Polynom fur die Da- 
teniibertragung erlauben einen betriebssicheren Ein- 
satz. 50 

Der Chip 14 enthalt alle zum Betrieb notwendigen 
Funktionseinheiten. Hierzu gehoren ein Speicher fur die 
nutzers pezifische Kennung, eine Sendeschaltung zur 
Obertragung der gespeicherten Daten, eine Empfangs- 
schaltung zur Anderung von Teilen der gespeicherten 55 
Daten und eine Schaltung fur die Energiegewinnung 
zum Betrieb des Chips 14. Der Generator fur die Span- 
nun gsversorgung des Chips 14 gewinnt die Energie aus 
dem niederfrequenten magnetischen Wechselfeld. Die 
integrierte Schaltung 14 speichert im FCennungsspeicher 60 
eine mehr als 64 bit (Standardpaflwort) lange, eindeuti- 
ge Kennung des Nutzers. Diese Kennung liegt nicht 
fliichtig vor und kann durch Aktivieren des Generators 
fur die Spannungsversorgung ausgelesen werden. 

Ein Sendeverstarker liest die Kennungsinformation 65 
aus dem Speicher, moduliert sie und iibermittelt sie an 
die Miniaturspule 15. Gber dieselbe Schnittstelle laBt 
sich die gespeicherte Kennung durch Ai;sch!ieOen an 
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das Schreibgerat SG ersetzen. Der Chip 14 und die Mi- 
niaturspule 15 sind geschiitzt in einen Trager eingebaut 
Drei mdgliche Bauformen des Identifikationstragers ID 
sind in Fig. 3 dargestetlt Alle Identifikationstrager ID 
sind mit einer fest angebrachten Seriennummer ausge- 
stattet 

In Fig. 3.1 sind der Chip 14 und die Miniaturspule 15 
wasserdicht in flexibles Material eingegossen. Fig. 3.1 
zeigt ungefahr in naturlicher GroBe, wie der so entstan- 
dene Miniaturtrager an einem Armband 16 befestigt 
werden kann. Ein Kunststoffring 17 umschlieBt den 
Identifikationstrager ID und das Armband 16, das bei- 
spielsweise ein Uhrarmband ist Der Miniaturtrager 14, 
15 kann aber auch mit Hilfe eines nichtmagnetischen 
Clips an dem Armband 16 befestigt werden. 

In Fig. 32 ist ein Uhrgehause so gestaltet daB neben 
dem Uhrwerk 18 zusatzlich der Chip 14 und die Spule 15 
in dem G eh a use Platz finden. Die Spule 15 liegt in die- 
sem Ausfuhrungsbeispiel an der Umfangslinie des Zif- 
ferblattes. 

Eine weitere Moglichkeit zur Befestigung des Identi- 
fikationstragers ID in Handnahe ist in Fig. 33 darge- 
stellt Der Chip 14 und die Miniaturspule 15 sind in ein 
eigens dafur angefertigtes, nichtmagnetisches Armband 
20 eingebettet Dieses Armband verf iigt uber einen Ver- 
schluQ 19, so daB es auBerhalb des Betriebs abgelegt 
werden kann. Zur weiteren Erhohung der Sicherheit 
kann dieser VerschluB mit einem elektronischen Schalt- 
mechanismus kombiniert werden, der die im Chip 14 
gespeicherten Informationen loscht, so daB das Arm- 
band 20 bei Verlust fur den Finder wertlos wird. 

Es ist auch denkbar, den Identifikationstrager ID als 
Fingerring zu realisieren. 

In Fig. 4 ist ein Blockschaltbild des Abstandslesers AL 
dargestetlt, der an jede Datenendeinrichtung DE des zu 
schiitzenden Systems DV angeschlossen wird. Bei Be- 
darf kann der Einsatz des Abstandslesers AL auf solche 
Datenendeinrichtungen DE beschrankt werden, die 
nicht durch sonstige Maflnahmen hinreichend geschiitzt 
sind oder bei denen ein haufiger Wechsel des Nutzers 
vorkommt 

Der Abstandsleser AL setzt sich im wesentlichen aus 
der elektronischen Baugruppe 2 und der Sende- und 
Empfangsspule 13 zusammen. Die Sende- und Emp- 
fangsspule 13, die aus Kupferdraht besteht, ist uber eine 
zweiadrige Verbindungsleitung 12 mit der elektroni- 
schen Baugruppe 2 verbunden. Die elektronische Bau- 
gruppe 2 ihrerseits setzt sich in der Hauptsache aus 
einer Sende- und Empfangsschaltung 8 und einem Mi- 
kroprozessor 3 zusammen. Die Sende- und Empfangs- 
schaltung 8 enthalt einen Generator 9 mit Leistungsver- 
starker 10, der das niederfrequente magnetische Wech- 
selfeld in der Sende- und Empfangsspule 13 erzeugt Das 
vom Identifikationstrager ID in die Sende- und Emp- 
fangsspule 13 eingekoppelte Signal wird uber eine Emp- 
fangsschaltung 11 so weit aufbereitet, daB es vom Mi- 
kroprozessor 3 ausgewertet werden kann. 

Der Mikroprozessor 3 besteht im wesentlichen aus 
einer CPU 5, einem EEPROM 6 zur Speicherung des 
Abfrageprogramms, einem RAM 7 als Arbeitsspeicher 
sowie aus einem Schnittstellenbaustein 4. Der Schnitt- 
stellenbaustein 4 betreibt zusammen mit dem Abfrage- 
programm.die Schnittstelle I. Ober diese Schnittstelle 1 
wird der Abstandsleser AL an den Personal -Computer 
oder an eine sonstige Datenendeinrichtung DE ange- 
koppelt Bei einer bereits realisierten Version ist die 
Schnittstelle 1 als V.24-Schnittstelle zu einem Personal- 
Computer realisiert Bei der in Fig. 1 dargestellten Ver- 
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sion, bei der die elektronische Baugruppe 2 des Ab- 
standslcsers AL als Steckkarte in die Datenendeinrich- 
tung DE etngesetzt wird, wird die Schnittstelle 1 als 
interne Bus-Schnittstelle ausgefuhrt 

1m Betrieb wird uber die Leistungskette 9, 10, 12, 13 
ein Wechselmagnetfeld begrenzter Reichweite erzeugt, 
das in der Miniaturspule 15 des Identifikationstragers 
ID eine Wechselspannung erzeugt Diese Wechselspan- 
nung wird im Chip 14 in die erforderliche Betriebsspan- 
nung umgesetzt Der Identifikationstrager ID sendet 
daraufhin die in ihm gespeicherte Nutzerkennung in bi- 
narer Form aus. Die Daten werden vom Empfangszweig 
13, 12, U des Abstandslesers AL empfangen und im 
Mikroprozessor 3 aufbereitet und ausgewertet Der Mi- 
kroprozessor 3 steuert uber die Schnittstelle 1 die Da- 
tenendeinrichtung DE an und lost dort frei program- 
mierbare Folgeaktionen aus, die im Zusammenhang mit 
dem FunkttonsfluBdiagramm gem a 6 Fig. 6 besprochen 
werden. 

Fig. 5 zeigt eine zu Fig. 1 alternative Ausfuhrungs- 
form des Abstandslesers AL Es handelt sich um ein 
keilformiges Gehause 23, in dem sowohl die Sende- und 
Empfangsspule 13 als auch die elektronische Baugruppe 
2 untergebracht sind. Das Gehause 23 besteht aus mit 
teldichter Faserplatte (MDF) und wird als Vorlegekeil 
vor die Tastatur TA eines tragbaren Personal-Compu- 
ters gelegt Eine griine Leuchtdiode 21 auf der Obersei- 
te des Gehauses 23 zeigt die Anwesenheit eines Identifi- 
kationstragers ID im Wirkungsbereich der Sende- und 
Empfangsspule 13 an. Der AnschluB an den Personal- 
Computer erfolgt mit Hilfe eines aus dem Gehause 23 
herausgefuhrten Verbindungskabels 22. Das Verbin- 
dungskabel 22 wird mit einer der seriellen Schnittstellen 
des Personal-Computers verbunden. 

Das FluBdiagramm in Fig. 6 zeigt die wichtigsten 
Funktionen des im Abstandsleser AL enthaltenen Ab- 
frageprogramms. Im Zustand a "kern Nutzer" ist keine 
Person mit dem Datenverarbeitungssystem DV in Ver- 
bindung getreten. Die Dateneinrichtung DE ist fur alle 
Eingaben gesperrt und keine ihrer Anwendungen ist 
aktiv. In der Funktion b uberpruft die CPU 5 fortlaufend 
das Signal des Empfangers 11 daraufhin, ob ein Identifi- 
kationstrager ID in den Wirkungsbereich der Sende- 
und Empfangsspule 13 eintritt Falls ein Identifikations- 
trager ID detektiert wird, wird die Funktion c aktiv. Mit 
Hilfe einer Datenbasis, die entweder im EEPROM 6 
oder auf den Speichermedien des Personal -Computers 
DE oder im zentralen Speicher des Datenverarbei- 
tungssystems D V abgelegt ist, wird gepruft ob die Ken- 
nung dieses Nutzers fur diese Datenendeinrichtung DE 
zugelassen ist Falls nicht, bleibt das Gerat DE gesperrt 
und es wird gewartet, bis eine neue Kennung detektiert 
wird. 

Falls die Kennung zugelassen ist, wird im Zustand d 
die Datenendeinrichtung zur Nutzung freigegeben. Die 
Anwesenheit des Identifikationstragers ID im Wir- 
kungsbereich der Sende- und Empfangsspule 13 wird 
durch die Funktion e fortlaufend uberwacht Sobald der 
Nutzer den Wirkungsbereich verlaBt, wird die Daten- 
endeinrichtung DE in naher zu bestimmender Weise 
gesperrt und auf die Detektion einer weiteren Nutzer- 
kennung gewartet Der Wirkungsbereich eines Gehau- 
ses 23 oder einer entsprechenden Schreibtischunterlage 
oder einer sonstigen Bauform der Sende- und Emp- 
fangsspule 13 betragt typischerweise weniger als 20 cm, 
uberschreitet aber aus Sicherheitsgrunden in keinem 
Fall die Entfernung von etnem Meter. 

Unter dem Blockieren der Datenendeinrichtung wel- 


ches sofort ausgelost wird, ist insbesondere ein Sperren 
der Tastatur und/oder ein Dunkehasten des Bildschirms 
zu verstehen. Diese Sperren werden wieder aufgeho- 
ben, wenn der Nutzer in den Wirkungsbereich zuruck- 

5 kehrt Nach Ablauf einer bestimmten Zeit (z.B. drei 
Minuten) kann das Abfrageprogramm den Nuuer beim 
Datenverarbeitungssystem DV abmelden (LOGOFF). 
Bei besonders sicherheitsempfindlichen Datenendein- 
richtungen kann auch registriert werden, wenn sich der 

io Nutzer kurzzeitig von der Datenendeinrichtung DE 
entfernt und diese gesperrt wird. Die Funktion "Sperren 
der Tastatur/Dunkeltasten des Bildschirms" kann auch 
a usgeldst werden, wenn ein nicht autorisierter Nutzer in 
den Wirkungsbereich -des Abstandslesers AL kommt 

is Hierzu sind ggf. weitere Sensoren einzusetzen. 

Neben dem automatischen Sperren der Datenendein- 
richtungen gibt es fur den Nutzer naturlich die Moglich- 
ke it, eine Sitzung explizit.zu beenden. Die Funktion f 
entscheidet dariiber, ob alle aktiven Anwendungen be- 

20 endet werden oder ob die automatischen Sperrfunktio- 
nen auslosbar bleiben. Weitere Sperrfunktionen oder 
Folgeaktionen sind programmierbar, beispielsweise 
uber die Schnittstelle 1 von der Datenendeinrichtung 
her. 

25 

Patentanspruche 

1. System zur Authentisierung des Nutzers einer 
Datenendeinrichtung eines Datenverarbeitungssy- 

30 stems, 

bei dem der Nutzer einen Identifikationstrager, der 
innerhalb einer vorbestimmten Entfernung beruh- 
rungslos abgefragt werden kann, sen we r verlierbar 
mit sich tragt, 

35 und bei dem ein Abstandsleser, der nahe bei der 
Datenendeinrichtung angebracht und uber ein Ver- 
bindungskabel mit der Datenendeinrichtung ver- 
bunden ist, eine personliche Nutzerkennung auf 
dem Identifikationstrager sich innerhalb der vorbe- 

40 stimmten Entfernung befindet, 
dadurch gekennzeichnet, dafl 
ein Schreibgerat (SG) zu vorgegebenen Zeitpunk- 
ten (z. Bsp. taglich) eine neue persdnliche Nutzer- 
kennung auf dem Identifikationstrager (ID) einpro- 

45 grammiert und gleichartig an das Datenverarbei- 
tungssystem (DV) Obermittelt. 
der schwer verlierbare Identifikationstrager (ID) in 
der Nahe des Handgelenks des Nutzers angebracht 
ist, 

50 die vorbestimmte Entfernung zwischen Identifika- 
tionstrager (ID) und Abstandsleser (AL) und damit 
auch die Entfernung zwischen Identifikationstrager 
(ID) und Datenendeinrichtung (DE) weniger als 1 
Meter betragt 

55 und sowohl die Abfrage als auch die Programmie- 
rung der persdnlichen Nutzerkennung durch ein 
magnetisches Wechselfeld vermittelt wird. 

2. Authentisierungssystem nach Anspruch 1, da- 
durch gekennzeichnet, daB die genutzte Datenend- 

60 einrichtung ein Personal-Computer ist 

3. Authentisierungssystem nach Anspruch 1, da- 
durch gekennzeichnet, daB die genutzte Datenend- 
einrichtung eine Workstation ist 

4. Authentisierungssystem nach Anspruch 1, da- 
65 durch gekennzeichnet daB die genutzte Datenend- 
einrichtung ein Terminal ist 

5. Authentisierungssystem nach Anspruch 1 bis 4, 
dadurch gekennzeichnet, daB das Schreibgerat 
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(SG) die erzeugte Nutzerkennung an die zentrale 
Datenbasis des Datenverarbeitungssys terns (DV) 
iibermmelt 

6. Authentisierungssystem nach Anspruch 1 bis 4, 
dadurch gekennzeichnet daB das Schreibgerat 5 
(SG) mit dem Abstandsleser (AL) kombiniert ist 
und die erzeugte Nutzerkennung an die Datenbasis 
im Abstandsleser (AL) ubermittelt 

8. Authentisierungssystem nach einem der vorher- 
gehenden Anspriiche, dadurch gekennzeichnet, daB 10 
die vorbestimmte Entfernung zwischen dem Identi- 
fikationstrager (ID) einerseits und dem Abstandsle- 
ser (AL) bzw. der Datenendeinrichtung (DE) ande- 
rerseits weniger als 20 cm betragt 

9. Authentisierungssystem nach Anspruch 1 bis 8, 15 
dadurch gekennzeichnet, daB die Datenendeinrich- 
tung (DE) sofort gesperrt wird, wenn der Identifi- 
kationstrager (ID) die vorbestimmte Wirkungsent- 
fernung verlaBt 

10. Authentisierungssystem nach Anspruch 9, da- 20 
durch gekennzeichnet, daB die Eingabetastatur 
(TA)blockiertwird. 

1 1. Authentisierungssystem nach Anspruch 9, da- 
durch gekennzeichnet, daB ein Bildschirm der Da- 
tenendeinrichtung (DE) dunkelgetastet oder ein 25 
Drucker der Datenendeinrichtung (DE) gesperrt 
wird. 

12. Authentisierungssystem nach Anspruch 9, da- 
durch gekennzeichnet, daB die Datenendeinrich- 
tung (DE) den Nutzer nach Ablauf einer bestimm- 30 
ten Zeitspanne beim Datenverarbeitungssystem 
(DV) abmeldet 

13. System zur Authentisierung, mit welchem der 
Nutzer eines Datenverarbeitungssystems, der sich 

in der Nahe einer Datenendeinrichtung befindet, 35 
beruhrungslos authentisiert wird, gekennzeichnet 
durch 

einen Identifikationstrager (ID), der aus einem Chip 
(14) und einer Miniaturspule (15) besteht, 
einen Abstandsleser (AL), bei dem eine elektroni- 40 
sche Baugruppe (2) (iber eine Verbindungsleitung 
(12) an eine Sende- und Empfangsspuie angeschlos- 
sen ist, 

und ein Schreibgerat (SG) zum Programmieren des 
Identifikationstragers (ID), welches zentra! oder 45 
uber die Datenendeinrichtung (DE) an das Daten- 
verarbeitungssystem (DV) angeschlossen ist 

14. System nach Anspruch 13, dadurch gekenn- 
zeichnet, daB der Identifikationstrager (ID) an ei- 
nem Armband (16) befestigt ist 50 

15. System nach Anspruch 14, dadurch gekenn- 
zeichnet, daB die Befestigung durch einen Kunst- 
stoffring (17) geschieht 

16. System nach Anspruch 14, dadurch gekenn- 
zeichnet daB die Befestigung durch einen nichtma- 55 
gnetischen Clip geschieht 

17. System nach Anspruch 13, dadurch gekenn- 
zeichnet, daB der Identifikationstrager (ID) in ein 
Armband (20) eingebaut ist 

18. System nach Anspruch 17, dadurch gekenn- 60 
zeichnet daB das Armband (20) einen VerschluB 
(19) aufweist bei dessen Offnen die Kennung im 
Identifikationstrager (ID) geloscht wird 

19. System nach Anspruch 13, dadurch gekenn- 
zeichnet, daB der Identifikationstrager (ID) neben 65 
einem Uhrwerk (18) in einem Uhrgehause einge- 
baut ist 

20. System nach Anspruch 13, dadurch gekenn- 
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zeichnet, daB der Identifikationstrager (ID) in ei- 
nem Fingerring eingebaut ist 

21. System nach Anspruch 13 bis 20, dadurch ge- 
kennzeichnet, daB der Abstandsleser (AL) in einem 
Gehause (23) untergebracht ist, das eine elektroni- 
sche Baugruppe (2) und eine Sende- und Empfangs- 
spuie (13) enthait und als Vorlegekeil ausgebildet 
ist 

22. System nach Anspruch 21, dadurch gekenn- 
zeichnet, daB das Gehause (23) eine Leuchtdiode 
(21) tragt, welche die vollzogene Authentisierung 
des Nutzers anzeigt 

23. System nach Anspruch 13 bis 20, dadurch ge- 
kennzeichnet, daB die Sende- und Empfangsspuie 
(13) des Abstandslesers (AL) in eine Schreibtisch- 
unterlage eingewirkt ist, und daB die elektronische 
Baugruppe (2) des Abstandslesers (AL) auf einer 
Steckkarte angeordnet ist, welche in die Datenend- 
einrichtung (DE) einsteckbar ist 

24. System nach Anspruch 13 bis 23, dadurch ge- 
kennzeichnet, daB ein Zusatzsensor (ZS) vorgese- 
hen ist, der fur die Annaherung des Identifikations- 
tragers (ID) an eine weitere Eingabevorrichtung, 
insbesondere eine sog. Maus, empfindlich ist 

25. System nach einem der Anspriiche 13 bis 24, 
dadurch gekennzeichnet daB weitere Sensoren 
vorgesehen sind, welche die Annaherung von nicht- 
berechtigten Personen registrieren. 

26. System nach Anspruch 13 bis 25, dadurch ge- 
kennzeichnet daB die elektronische Baugruppe (2) 
des Abstandslesers (AL) iiber eine serielle Schnitt- 
stelle an die Datenendeinrichtung (DE) angeschlos- 
sen ist 

27. System nach Anspruch 13 bis 25, dadurch ge- 
kennzeichnet daB die elektronische Baugruppe (2) 
des Abstandslesers (AL) uber eine interne Schnitt- 
stelle an den Datenbus der Datenendeinrichtung 
(DE) angeschlossen ist 
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Figur 1 : Hauptkomponenten 



Figur 2: Blockschaltbild des ID-Tragers 
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Figur 3- Bauformen des ID-Tragers 


Figur 3.1: Befestigung am Armband 
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Figur 3.2: in Uhr integriert 



Figur 3.3: in Armband integriert 
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Figur4: Blockschaltbild des Abstands/eserc 
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Figur5: Gehause fur Abstandsleser 
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Figure: FunktionsfluBdiagramm 
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